你可能感兴趣的试题
机房登记记录 信息安全管理体系 权限申请记录 离职人员的口述
制定政策:形成信息安全方针文档 确定范围:形成ISMS文档 资产识别:形成信息资产清单 风险评估:形成风险评估文档 选择控制:形成控制目标和控制措施 体系运行:运行计划和运行记录 体系审核:审核计划与审核记录 管理评审:证实计划与评审记录 I.体系认证:认证申请及认证证书
认证决定人员不宜推翻审核组的正面结论 认证决定人员不宜推翻审核组的负面结论 认证机构应对客户组织的ISMS至少进行一次完整的内部审核 认证机构必须遵从客户组织规定的内部审核和管理评审的周期
ISMS是一个遵循PDCA模式的动态发展的体系 ISMS是一个文件化、系统化的体系 ISMS采取的各项风险控制措施应该根据风险评估等途径得出的需求而定 ISMS应该是一步到位的,应该解决所有的信息安全问题
策略Policy 建立Plan 实施Do 检查Check 维护改进Act
明确ISMS范围-确定ISMS策略-定义风险评估方法-进行风险评估-设计和选择风险处置方法-设计ISMS文件-进行管理者承诺(审批) 定义风险评估方法-进行风险评估-设计和选择风险处置方法-设计ISMS文件-进行管理者承诺(审批)-确定ISMS策略 确定ISMS策略-明确ISMS范围-定义风险评估方法-进行风险评估-设计和选择风险处置方法-设计ISMS文件-进行管理者承诺(审批) 明确ISMS范围-定义风险评估方法-进行风险评估-设计和选择风险处置方法-确定ISMS策略-设计ISMS文件-进行管理者承诺(审批)
Plan(计划) Do(执行) Check(检查) Action(处理
《信息安全管理体系要求》 《信息安全管理实用规则》 《信息安全管理度量》 《ISMS实施指南》
关键的控制程序没有得到贯彻,缺乏标准规定的要求可构成严重不符合项 风险评估方法没有按照ISO27005(信息安全风险管理)标准进行 孤立的偶发性的且对信息安全管理体系无直接影响的问题; 审核员识别的可能改进项
建立合理的信息安全管理组织架构及制度体系 信息安全管理体系完整,信息安全管理策略覆盖全面 电子银行信息安全管理体系完整 建立信息安全标准和评估体系 保证信息科技管理是否符合国家法律法规准则和监管要求
信息安全方针政策 信息安全工作程序 信息安全作业指导书 信息安全工作记录
管理层足够重视 需要全员参与 不必遵循过程的方法 需要持续改进
ISMS方针和目标 ISMS的范围 支持ISMS的程序和控制措施 风险评估方法的描述 风险评估报告 风险处理计划 组织为确保其信息安全过程的有效规划,运行和控制以及描述如何测量控制措施的有效性所需的形成文件的程序 所要求的记录 I.适用性声明
所有的场所活动相同,仅有规模上的差异 所有场所在同一ISMS下运行,并接受统一的管理、内部审核和管理评审 所有场所包括在客户组织的内部信息安全管理体系审核方案中 所有场所包括在客户组织的信息安全管理体系管理评审方案中
湘公网安备 43130202000226号